Модуль безопасности ядра Linux
Smack (полное название: Simplified Mandatory Access Control Kernel ) — это модуль безопасности ядра Linux , который защищает данные и взаимодействие процессов от вредоносных манипуляций с помощью набора пользовательских правил обязательного контроля доступа (MAC), при этом его главная цель — простота. [1] Он был официально объединен с выпуском Linux 2.6.25, [2] он был основным механизмом контроля доступа для мобильной операционной системы MeeGo . [3] [4] Он также используется для изолирования веб-приложений HTML5 в архитектуре Tizen , [5] в коммерческих решениях Wind River Linux для разработки встраиваемых устройств, [6] [7] в продуктах Philips Digital TV, [8] и в ОС Ostro от Intel для устройств IoT . [9]
С 2016 года Smack требуется во всех реализациях Automotive Grade Linux (AGL), где он совместно с другими возможностями Linux обеспечивает основу для инфраструктуры безопасности AGL. [10] [11]
Дизайн
Smack состоит из трех компонентов:
- Модуль ядра, реализованный как модуль безопасности Linux . Лучше всего работает с файловыми системами , поддерживающими расширенные атрибуты .
- Скрипт запуска, который обеспечивает наличие у файлов устройств правильных атрибутов Smack и загружает конфигурацию Smack.
- Набор патчей для пакета GNU Core Utilities , чтобы он знал о расширенных атрибутах файлов Smack. Также был создан набор аналогичных патчей для Busybox . SMACK не требует поддержки пользовательского пространства. [12]
Критика
Smack критиковали за то, что он был написан как новый модуль LSM вместо политики безопасности SELinux , которая может обеспечить эквивалентную функциональность. Такие политики SELinux были предложены, но ни одна не была продемонстрирована. Автор Smack ответил, что это не будет практичным из-за сложного синтаксиса конфигурации SELinux и философской разницы между дизайнами Smack и SELinux. [13]
Ссылки
- ^ "Официальная документация SMACK из исходного дерева Linux". Архивировано из оригинала 2013-05-01.
- ^ Джонатан Корбет. "Еще немного о 2.6.25". Архивировано из оригинала 2012-11-02.
- ^ Джейк Эдж. "The MeeGo Security Framework". Архивировано из оригинала 2012-11-02.
- ^ Linux Foundation. "Архитектура безопасности MeeGo". Архивировано из оригинала 28.01.2013.
- ^ Онур Ачичмез, Эндрю Блейх. "Понимание модели контроля доступа для изолированной среды приложений Tizen" (PDF) . Архивировано из оригинала 28.01.2013.
- ^ Wind River. "Wind River Linux 4 Product Note" (PDF) . Архивировано из оригинала (PDF) 2012-05-23.
- ^ Wind River. "Wind River Linux 3 Product Note" (PDF) . Архивировано из оригинала (PDF) 2014-09-23.
- ^ Embedded Alley Solutions, Inc. "SMACK для цифрового телевидения" (PDF) . Архивировано из оригинала (PDF) 2012-09-13.
- ^ Intel Open Source Technology Center. "Обзор архитектуры ОС Ostro™". Архивировано из оригинала 28.05.2024.
- ^ Automotive Grade Linux. "AGL Security Framework". Архивировано из оригинала 2017-06-06.
- ^ Доминиг ар Фолл. "AGL как универсальный защищенный промышленный встраиваемый Linux". Архивировано из оригинала 2024-05-28.
- ^ "Smack Userspace Tools README". Архивировано из оригинала 20-09-2016.
- ^ Кейси Шауфлер. "Re: PATCH: Smack: Simplified Mandatory Access Control Kernel". Архивировано из оригинала 2016-10-12.
Дальнейшее чтение
- Джейк Эдж (2007-08-08). "Smack для упрощенного контроля доступа". Linux Weekly News .
- Джонатан Корбет (2007-02-10). "SMACK встречает One True Security Module". Linux Weekly News .
- Кейси Шауфлер (январь 2008 г.). "Упрощенное обязательное ядро контроля доступа" (PPT) . Linux.conf.au . Архивировано из оригинала 2014-01-11. Видео сессии (OGG) . Мельбурн, Австралия.
- Джейк Эдж (2008-08-06). "Симпозиум Linux в Оттаве: Smack для встраиваемых устройств". Linux Weekly News .
- Casey Schaufler (июль 2008 г.). "Smack in Embedded Computing" (PDF) . Труды симпозиума Linux . Том 2. стр. 186–197. Архивировано из оригинала (PDF) 29.06.2013.
- Джейк Эдж (2009-10-07). "Конференция сантехников Linux: три сессии по безопасности". Linux Weekly News .
- Елена Решетова, Кейси Шауфлер (ноябрь 2010 г.). "Обзор упрощенной инфраструктуры безопасности мобильных устройств" (PDF) . Конференция MeeGo . Архивировано из оригинала (PDF) 2012-07-25.